Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

Dieses Thema im Forum "Smalltalk" wurde erstellt von luckylemontree, 10. April 2007.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. luckylemontree

    luckylemontree Erfahrener Benutzer

    Registriert seit:
    14. November 2005
    Beiträge:
    533
    Ort:
    BW
    ...Zumindest im Bereich DDOS-Abwehr.

    Vielleicht hat grad Jemand Zeit übrig um Ihm unter die Arme zu greifen.
     
  2. Gocher

    Gocher Erfahrener Benutzer

    Registriert seit:
    1. März 2004
    Beiträge:
    2.788
    Ort:
    Amsterdam
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    Dann sollte Marc ( aka Airport1 ) mal ein gesuch starten, dann wird ihm sicher geholfen ;)
     
  3. Heini

    Heini Erfahrener Benutzer

    Registriert seit:
    23. Februar 2004
    Beiträge:
    1.530
    Ort:
    München
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    Ich befürchte für eine sinnvolle Abwehr benötigt man Zugriff auf die Architektur die vor dem Server steht. Das Strato RZ verfügt sicherlich über die technischen Voraussetzungen für eine entsprechende Reaktion, die Informationen an die richtige Stelle zu bekommen könnte evtl. eine Herausforderung darstellen.
     
  4. krs-one

    krs-one New Member

    Registriert seit:
    10. Februar 2007
    Beiträge:
    618
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    Wenn es ein einfacher Apache DDoS ist sollte man den Apache Timeout vorrübergehend von 300 auf 10 Sekunden setzen. Auch sollte die maximale Anzahl von Apache Prozessen von 150 auf 450 gesetzt werden, damit diese nicht durch die DDoS Zugriffe voll wird.

    Einfach mal probieren...
     
  5. Mr. Brain

    Mr. Brain Erfahrener Benutzer

    Registriert seit:
    13. Mai 2005
    Beiträge:
    2.289
    Ort:
    Frankfurt am Main
    Firmenname:
    Welcome 2 Inter.Net
    Anbieterprofil:
    Klick
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...


    Leicht umständlich diese Lösung und sie würde auch nicht das eigentliche Problem des Apache-DDoS bekämpfen. Viel sinnvoller und effektiver ist es, die IP-Ranges der/des Verusacher per iptables zu blockieren.
     
  6. krs-one

    krs-one New Member

    Registriert seit:
    10. Februar 2007
    Beiträge:
    618
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    Erfahrungsgemäß ist das so gut wie nie möglich weil niemand so blöd ist eine DDoS Attacke von einer einzigen IP oder auch nur IP Range aus abzusetzen. Nun hat man die Wahl: Konfiguriere ich Apache wie oben um, dann ist mein Server weiter erreichbar und ich habe SSH Zugriff um das Problem zu lösen oder lasse ich Apache so wie jetzt, dann ist der Server wegen Überlastung nicht erreichbar und ich komme kaum auf SSH klar, weil der Server überlastet ist...

    Da sehe ich dann bei Option 2 die Vorteile nicht.
     
  7. noyx

    noyx New Member

    Registriert seit:
    31. Juli 2005
    Beiträge:
    492
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    Er soll mal Syn Cookies aktivieren, falls dass nicht fruchtet, wie bereits angesprochen den RZ-Betreiber kontaktieren.
     
  8. Mr. Brain

    Mr. Brain Erfahrener Benutzer

    Registriert seit:
    13. Mai 2005
    Beiträge:
    2.289
    Ort:
    Frankfurt am Main
    Firmenname:
    Welcome 2 Inter.Net
    Anbieterprofil:
    Klick
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    @krs-one: Hä, du widersprichst dir selber. Du gehst von einem Apache-DDoS aus, der von maximal 449 Bots ausgeht. Sind es mehr, geht dein Apache nicht mehr. Abgesehen davon dass der RAM-Verbrauch (ggf. durch PHP) und die Load ins unermeßliche steigen wird.

    Der Vorteil via iptables besteht darin, ganz schnell (z.B. per Shellscript) die IPs aus der Liste der offenen Verbindungen zu filtern (z.B. Fin_Wait, etc.) und zu blockieren. Der Apache läuft dadurch ganz normal weiter, weder die Load noch der RAM-Verbrauch steigt an.
     
  9. krs-one

    krs-one New Member

    Registriert seit:
    10. Februar 2007
    Beiträge:
    618
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    Ich habe viel Erfahrung mit solchen Angriffen. Erfahrungsgemäß laufen solche Angriffe so ab, dass jemand Millionen Systeme mittels eines Virus infiziert. Diese senden dann nacheinander Zugriffe auf den Server. Gerade so viele dass er bei normaler Apache Konfiguration mit 150 Prozessen und 300 Sekunden Timeout zusammen bricht. Warum ? Weil die gleichen Systeme auch noch andere Systeme angreifen und der Hacker nur ein begrenztes Kontingent pro Server aufwendet.

    Iptabels nutzt erfahrungsgemäß noch nichtmal ansatzweise irgendwas, weil selten die gleiche IP 2 mal eine Anfrage sendet. Sonst wären diese Angriffe ja kinderleicht zu beheben und dazu braucht dann auch sicherlich niemand einen Thread zu eröffnen.

    Wenn man aber den Timeout auf 10s setzt dann ist der Angriff in der Regel nicht mehr effektiv, da diese Angriffe auf die Apache Standard-Konfiguration ausgerichtet sind. Dennoch kann es vereinzelt vorkommen, dass es mehr als 150 Prozesse gibt. Damit der Server auch dann erreichbar ist setzt man die maximale Prozessanzahl auf 450. So erreicht man insgesamt während man die Attacke abwehrt die beste Verfügbarkeit für seine Kunden.
     
  10. Mr. Brain

    Mr. Brain Erfahrener Benutzer

    Registriert seit:
    13. Mai 2005
    Beiträge:
    2.289
    Ort:
    Frankfurt am Main
    Firmenname:
    Welcome 2 Inter.Net
    Anbieterprofil:
    Klick
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...


    ROTFLOL

    Wasn´das fürn DDoS?

    krs-one, you made my day.
     
  11. krs-one

    krs-one New Member

    Registriert seit:
    10. Februar 2007
    Beiträge:
    618
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...


    Keine Ahnung was daran unlogisch oder absurd sein soll. Genau so laufen Apache basierte DDoS Attacken ab. Jemand infiziert Computer mit Viren und greift dann verschiedene Zielsysteme an mit Strategien die auf die Software des jeweiligen Ziels ausgerichtet sind. Indem alle Threads belegt werden und sofort alle frei werdenden wieder belegt werden ist der Server down. Um dem entgegen zu wirken setzt man das Timeout runter und die Thread Zahl rauf. Erfahrungsgemäß unterliegen auch Angriffe mit vielen infizierten Systemen gewissen Beschränkungen z.B. weil das Botnetzt gleichzeitig mehrere Systeme angreift da die volle verfügbare Anzahl an Bots für kleine Server garnicht gebraucht wird. Logischer gehts eigentlich garnicht.
     
    Zuletzt bearbeitet: 10. April 2007
  12. Mr. Brain

    Mr. Brain Erfahrener Benutzer

    Registriert seit:
    13. Mai 2005
    Beiträge:
    2.289
    Ort:
    Frankfurt am Main
    Firmenname:
    Welcome 2 Inter.Net
    Anbieterprofil:
    Klick
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...


    Die Lösung aller Apache-DDoS: Apache-Threads auf 450 und Timeout auf 10 Sekunden.

    Ich tapse mal schnell zum Patentamt *g*
     
  13. krs-one

    krs-one New Member

    Registriert seit:
    10. Februar 2007
    Beiträge:
    618
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    ???
     
  14. Optimate-Server

    Optimate-Server Eingetragener Provider

    Registriert seit:
    10. Juni 2004
    Beiträge:
    3.646
    Geschlecht:
    männlich
    Ort:
    Heusenstamm
    Firmenname:
    Optimate-Server
    Anbieterprofil:
    Klick
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    @krs-one: Wenn der Apache dicht ist, hat das aber nichts mit SSH zu tun.
    Ein Problem per SSH drauf zu kommen hast du erst dann, wenn die 100MBIT zum Server durch den DDOS ausgelastet sind.
    Den Timeout runter zu setzen bringt meiner Meinung nach wenig.
    Der Timeout kommt ja erst zum Tragen, wenn der Child-Prozess vom Apache seit x Sekunden läuft. Dazu musst du aber dementsprechend rechenlastige Scripte laufen lassen, die dann beim Massenaufruf den Server in die Knie zwingen.
    Nur da spielt es keine Rolle, ob der Timeout auf 10Sekunden oder 300Sekunden steht.
     
  15. krs-one

    krs-one New Member

    Registriert seit:
    10. Februar 2007
    Beiträge:
    618
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    Wenn 150 Apache Prozesses dauerhaft laufen ist der Server so überlastet, dass du kaum noch via SSH rein kommst und flüssig arbeiten kannst du dann erst Recht nicht. Apache wird down sein und wenn der Server down und SSH langsam ist arbeitet es sich weniger entspannt an einer Lösung als wenn Apache läuft und SSH schnell läuft.

    In der Regel funktioniert das so, dass der Angreifer eine Anfrage sendet, dann jedoch nicht mehr auf die Gegenantwort des Servers reagiert. Apache hält dann den Prozess bis zum Timeout offen. Für den Angreifer ist dazu keine Rechenlast erforderlich. Er schickt ja lediglich eine Anfrage an Apache die er dann unbeantwortet läst. Apache wartet dann aber rechenintensiv auf eine erfolgreiche Kommunikation mit dem Angreifer und wenn der Timeout auf 10 Sekunden steht werden die wartenden Prozesse schneller geschlossen. Apache ist wieder erreichbar und der Load geht runter. Jetzt kann ich via SSH mehr Informationen über das Problem sammeln und eine effektive dauerhafte Blockade der Angriffe ausarbeiten.
     
  16. [ip69.de]christian

    [ip69.de]christian New Member

    Registriert seit:
    28. August 2004
    Beiträge:
    3.780
    Ort:
    Kronach
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    ähm? bitte? ich hab hier server mit 1024 offenen gleichzeitigen und dauerhaft arbeitenden ApacheProzessen, die sowas von wunderbar und flüssig arbeiten
     
  17. A-N

    A-N Erfahrener Benutzer

    Registriert seit:
    13. September 2004
    Beiträge:
    1.669
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    www.staminus.net

    Einfach da ein Server mieten, und ruhe ist mit DDoS Attacken. Sind zwar nicht so günstig wie Strato, aber 100% DDoS Schutz.

    Ich weiß wovon ich rede ;-)
     
  18. Optimate-Server

    Optimate-Server Eingetragener Provider

    Registriert seit:
    10. Juni 2004
    Beiträge:
    3.646
    Geschlecht:
    männlich
    Ort:
    Heusenstamm
    Firmenname:
    Optimate-Server
    Anbieterprofil:
    Klick
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    Ich habe das vor 2 Wochen erst gehabt.
    Da hatte jemand in der footer.php stehen
    include('http://domain.de/footer.php');
    Hihi, damit kann man den Apache auch künstlich zum Sterben bringen...
    Aber per SSH kam ich trotz aller belegten Childs im Apache locker drauf und ging alles schnell.
     
  19. krs-one

    krs-one New Member

    Registriert seit:
    10. Februar 2007
    Beiträge:
    618
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    Deine Prozesse sind wahrscheinlich schlafende Prozesse die auf top unter "Sleeping" stehen. Bei einer DDoS Attacke stehen sie aber auf Apache im Status "reading" und wenn man sie mit top anschaut stehen sie im Status "running". Wenn 1024 Prozesse im Status running sind entspricht das auf top einem Load von 1024 und das kannst du jawohl kaum meinen.
     
  20. Optimate-Server

    Optimate-Server Eingetragener Provider

    Registriert seit:
    10. Juni 2004
    Beiträge:
    3.646
    Geschlecht:
    männlich
    Ort:
    Heusenstamm
    Firmenname:
    Optimate-Server
    Anbieterprofil:
    Klick
    AW: Marc (aka Airport1) von ranking-hits scheint Hilfe zu brauchen...

    100% ?
    Warum schafft dies Ebay und Google nicht?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen